2024年12月27日,国家金融监督管理总局( "金融监管总局")正式发布了《银行保险机构数据安全管理办法》(" 《办法》")。同年3月,金融监管总局曾就该《办法》发布征求意见稿,引起业内广泛关注和讨论。而今随着《办法》的正式出台,金融行业数据安全监管迈入了新的阶段。
- 《办法》出台背景
由于银行保险机构处理大量敏感的个人金融信息处理,数据安全及个人信息保护是金融监管部门长期关注的重点。
早在2018年,原银保监会即颁布了《银行业金融机构数据治理指引》,作为银行保险业金融数据治理的早期规范性文件。自《网络安全法》《数据安全法》《个人信息保护法》出台以来,金融行业监管部门也相继下发了多项金融数据治理行业标准,包括《金融信息服务安全规范》(GB/T 36618-2018)、《金融数据安全 数据安全分级指南》(JR/T 0197-2020)、《个人金融信息保护技术规范》(JR/T 0171-2020)、《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)等,内容涵盖数据分类分级、全生命周期管理等方面。而在法规层面,《银行保险机构信息科技外包风险监管办法》《征信业务管理条例》《银行保险机构消费者权益保护管理办法》等规定,从科技外包数据安全风险管理、征信信息采集与删除、消费者个人信息权益保护等方面涉及银行保险机构的数据治理要求。这些要求散见于上述规范性文件中,而缺乏一项完整、体系化的规定。
在执法方面,人民银行和金融监管总局对多家银行保险机构开出"天价罚单",处罚原因涉及数据收集、使用、查询、泄露等多个方面,例如多家银行曾因客户信息保护体制机制不健全、数据安全管理等问题被处以高额罚款。2022年8月,原银保监会开展银行保险机构侵害个人信息权益乱象专项整治工作,要求各银行保险机构全面摸排与消费者个人信息处理活动相关的经营行为和管理情况,深入查找个人信息保护方面存在的问题。
在上述立法和执法双重推进的背景下,金融行业亟需一部全面、有较强针对性的数据治理及合规管理办法。金融监管总局在向社会广泛征求意见后于2024年底出台了本《办法》,完善了金融行业数据安全监管体系,也标志着金融行业数据安全监管迈入了新的阶段。
二、 适用范围
根据《办法》第2条和第80条,《办法》适用于在中国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司(统称" 银行保险机构"),且金融监管总局批准设立的其他银行业金融机构、保险业金融机构、金融控股公司以及总局管理单位,以及地方金融管理部门批准设立的金融组织均参照适用。以上列举的主体基本涵盖了当前金融监管总局批设或制定监管规则的机构,且包括地方金融管理部门批设的金融组织。
从数据处理范围来看,除了涉及国家秘密的数据处理活动,银行保险机构从事的数据处理活动均受《办法》规制。而"数据"在《办法》中的定义与《数据安全法》中的定义保持一致,指" 以电子或者其他方式对信息的记录",且根据上下文,"数据"包括"个人信息"。考虑到现代银行保险业高度数字化的特征,本《办法》所规制的数据处理活动涵盖的范围十分广泛,涉及银行保险业的绝大部分业务。
三、 组织架构
《办法》第9-15条要求银行保险机构应建立覆盖董(理)事会、高管层、数据安全统筹、数据安全技术保护等部门的数据安全管理组织架构,并规定了相关部门的主要职责;《办法》提出了"数据安全责任制"的概念,明确各层级负责人的责任、落实问责处置机制,具体如下:
|
部门/人员 |
职责 |
|
党委(党组)、董(理)事会 |
对本单位数据安全工作负主体责任 |
|
银行保险机构主要负责人 |
数据安全第一责任人 |
|
分管数据安全的高级管理人员 |
直接责任人 |
|
数据安全归口管理部门 |
负责数据安全工作的主责部门。主要职责: (一)组织制定数据安全管理原则、规划、制度和标准; (二)组织建立和维护数据目录,推动实施数据分类分级保护; (三)组织开展数据安全评估和审查; (四)统筹建立数据安全应急管理机制,组织开展数据安全风险监测、预警与处置; (五)组织开展数据安全宣贯培训,提升员工数据安全保护意识与技能; (六)建立和维护内部数据共享、外部数据引入、数据对外提供、数据出境的统筹管理机制,牵头对外部数据供应商进行安全管理,统筹大数据应用、数据共享项目的安全需求管理; (七)向党委(党组)、董(理)事会、高管层报告数据安全重要事项; (八)其他须统筹管理的数据安全工作事项 |
|
信息科技部门 |
技术保护主责部门。主要职责: (一)建立数据安全技术保护体系,建立数据安全技术架构和保护控制基线,落实技术保护措施。 (二)制定数据安全技术标准规范制度,组织开展数据安全技术风险评估。 (三)组织开展信息系统的生命周期安全管理,确保数据安全保护措施在需求、开发、测试、投产、监测等环节得到落实。 (四)建立数据安全技术应急管理机制,组织开展数据安全风险技术监测、预警、通报与处置,防范外部攻击、内外部破坏等危害数据安全活动。 (五)组织数据安全技术研究与应用。 |
|
风险管理部门 |
将数据安全纳入全面风险管理体系、内控评价体系,定期开展审计、监督检查与评价,督促问题整改和开展问责。 |
|
内控合规部门 |
|
|
审计部门部门 |
|
|
各业务部门 |
按照"谁管业务、谁管业务数据、谁管数据安全"的原则,明确各业务领域的数据安全管理责任 |
|
全员 |
建立良好的数据安全文化,开展全员数据安全教育和培训,提高数据安全保护意识和水平,形成全员共同维护数据安全和促进发展的良好环境 |
四、 数据分类分级及重要数据
《办法》第16-19条要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,采取差异化安全保护措施。
就数据分类而言,《办法》将银行保险机构业务及经营管理过程中获取、产生的数据分为以下类型:
- 客户数据
- 业务数据
- 经营管理数据
- 系统运行
- 安全管理数据
就数据分级而言,《办法》将数据分为以下4个级别,并要求根据数据的业务属性、重要程度和可能造成的危害程度对数据安全级别实施动态调整:
- 核心数据:指对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或者共享,可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
- 重要数据:指特定领域、特定群体、特定区域或者达到一定精度和规模的数据,一旦被泄露或者篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
- 敏感数据:指一旦被泄露或者篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据。
- 一般数据:除以上数据之外的,为其他一般数据。
《办法》定义了"敏感数据"这一概念、并采用了4级分类标准,该分类标准与此前央行发布的《金融数据安全 数据安全分级指南》(JR/T 0197-2020)的分类标准有所不同。《金融数据安全 数据安全分级指南》(JR/T 0197-2020)按照影响对象(国家安全、公众权益、个人隐私、企业合法权益等)和影响程度将金融数据的最低安全级别分为5个级别,第5级金融数据构成金融行业的重要数据,第5级数据的特征为影响国家安全或严重损害公众权益。
就重要数据而言,《办法》第71条明确了重要数据应当按照金融监管总局制定的目录进行识别、报送、更新:
- 金融监管总局制定银行业保险业重要数据目录,提出核心数据目录建议,监督指导银行保险机构开展数据分类分级管理和数据保护。
- 银行保险机构应当按要求向金融监管总局或者其派出机构报送重要数据目录。重要数据目录发生重大变化应当及时报备更新后的数据目录。
上述要求与工业和信息化领域的《工业和信息化领域数据安全管理办法(试行)》中规定的重要数据识别与报送要求类似。
五、 数据安全管理
《办法》要求银行保险机构建立数据安全管理内部政策、登记管理数据资产并建立数据服务组织管理体系:
- 内部政策:制定数据安全管理办法,明确管理责任分工,建立包括数据处理全生命周期管控机制,落实保护措施;并对数据外部引入或者合作共享、数据出境等,制定安全管理实施细则。
- 数据资产登记管理:建立企业级数据架构,统筹开展对全域数据资产登记管理,建立数据资产地图,以数据分类分级为基础明确数据保护对象,围绕数据处理活动实施安全管理。
- 数据服务团队:建立企业级数据服务管理体系,制定数据服务规范,建立专职数据服务团队,统筹内外部数据加工、分析,实施数据服务需求分析、服务开发、服务部署、服务监控等活动。
《办法》从数据处理的全流程角度分别提出了数据安全管理要求:
(一) 收集
在数据收集环节,《办法》要求不得超出数据主体同意的范围向其收集数据,法律、行政法规另有规定的除外。根据《办法》第3条的定义,"数据主体"不仅包括自然人,还包括企业。在"数据主体"指个人信息所标识的自然人的情况下,由于《个人信息保护法》第13条就"同意"以外的合法性基础(如人力资源管理、签订和履行合同所必需等)另有规定,故应当适用。而当"数据主体"指企业的情况下,银行保险机构应当征求相关企业的同意、签署相关数据处理协议再在协议范围内收集数据。
值得注意的是,《办法》要求银行保险机构在向其他银行保险机构收集行业重要数据、核心数据时,需经金融监管总局的同意。
涉及外部数据采购与合作引入时,银行保险机构应当制定集中审批管理制度,纳入外包风险管理体系进行统筹管理,建立数据需求、安全评估、收集引入、数据运维、登记备案和监督评价管理机制,对数据来源的真实性、合法性进行调查,评估数据提供者的安全保障能力及其数据安全风险,明确双方数据安全责任及义务。
(二) 加工
根据《办法》第27条,开展敏感数据、重要数据、核心数据的清洗转换、汇聚融合、分析挖掘等数据加工活动时,应当采用匿名化、去标识化或者其他必要安全措施保护数据主体权益,法律、行政法规另有规定的除外。数据汇聚融合衍生敏感级及以上数据,或者导致数据安全级别变化的,应当及时评估、调整安全保护措施。
(三) 存储
就数据存储而言,《办法》要求:
- 数据访问授权管理:应当按照"业务必要授权"原则,对敏感级及以上数据严格实施授权管理,制定数据访问闭环管理机制,并对数据访问行为实施审计。
- 数据使用或保存期限:确因业务需要从生产环境提取数据的,应当建立严格的审批程序,并明确数据使用或者保存期限。
- 网络安全与密码保护:利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护等制度要求。
- 数据备份与隔离:应当采取技术措施,对敏感级及以上数据加强重点防护,加强数据备份,制定备份策略,备份数据和生产数据应隔离分开保存,严格管理备份数据的访问权限。
- 备份验证计划:制定备份验证计划,确保备份数据完整有效、业务可恢复。
(四) 关联共享、委托处理、共同处理、对外提供、转移数据
《办法》就金融行业数据的不同流动模式,分别规定了相应的数据安全管理要求。
《办法》单独将集团内公司之间的数据共享行为作为一种数据流动模式(本文中称" 关联共享"),并作出特别规定,要求集团母子公司之间不得任意共享数据,而应当建立"防火墙"、并就敏感数据的关联共享征求数据主体的同意。这一点也可能反映了监管部门在此前银行保险机构侵害个人信息权益乱象专项整治工作中发现的重点问题之一。
金融数据具有高价值和高敏感性,根据我们的观察,为"盘活"金融数据价值,近年来银行保险机构普遍对于集团内数据共享较为渴望,并积极探索和尝试各种数据共享的合规方式。但由于《个人信息保护法》等法律法规关于数据对外"提供"的限制性要求(特别是个人信息对外提供需获得个人的单独同意),银行保险机构完全践行合规措施的难度较大,对此问题总体还比较谨慎。《办法》中所明确的规则,将有助于澄清相关问题并在全行业树立统一规则。
但需要注意的是,《办法》本身并未根据《个人信息保护法》进一步区分关联共享场景下是否还存在"委托处理"和"对外提供"两种不同子场景,而是统一要求关联共享需征求数据主体的同意。银行保险机构是否可以根据《办法》中"法律、行政法规另有规定的除外"来适用《个人信息保护法》下"委托处理"无需个人同意的规则,仍有不确定性。银行保险机构还需要通过观察后续监管实践来获得确切的答案。
|
数据流动模式 |
《办法》要求 |
|
关联共享 |
x 数据安全隔离与保护:应当建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的"防火墙",并对共享数据采取有效保护措施。 x 数据主体同意(涉敏感数据时):与其母行、集团,或者其子行、子公司共享敏感级及以上数据,应当获得数据主体的授权同意,法律、行政法规另有规定的除外。不得以数据主体拒绝同意共享敏感数据而终止或者拒绝单家子行、子公司对其提供金融服务,所共享数据属于提供产品或者服务所必需的除外。 |
|
委托处理 |
x 数据处理协议:委托处理数据时,应当以合同协议方式约定委托处理的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任和义务,以及受托方返还或者删除数据的方式等,对数据处理活动进行记录和审计。应要求受托方不得擅自转委托数据,不得对外共享数据,不得加工、训练、挪用数据,或者采取其他形式处理数据以谋取合同或者协议约定以外的利益。 x 信息科技外包管理:应当将数据委托处理纳入信息科技外包管理范围,在实施过程中不得将信息科技管理责任、数据安全主体责任外包。 x 供应链服务安全管理(涉敏感数据时):供应链服务中涉及敏感级及以上数据处理的,应当加强对供应商的准入和安全管理。 |
|
共同处理 |
x 业务必要授权原则:与第三方机构进行数据共同处理时,应当按照"业务必要授权"原则制定方案。 x 有效管理和技术保护措施:采取有效管理和技术保护措施确保数据安全。 x 数据处理协议:以合同协议方式明确双方在数据处理过程中的数据安全责任和义务。 |
|
对外提供(包括向境外提供) |
x 数据主体同意(涉敏感数据时):向外部提供敏感级及以上数据,应当取得数据主体同意,法律、行政法规另有规定的除外。 x 风险评估、安全审查(涉核心数据时):除国家机关依法履职外,银行保险机构核心数据跨主体流动应当按照国家相关政策要求通过风险评估、安全审查。 x 向境外提供:向境外提供重要数据和个人信息时,应当承担数据安全主体责任,并按照国家有关政策要求进行安全评估。 |
|
因合并、分立、解散、被宣告破产等需要转移数据 |
x 数据处理协议:通过协议、承诺等方式约定数据接收方全面承接对应数据的安全保护义务。 x 告知数据主体:通过公告等方式告知数据主体。 x 安全可靠方式与可追溯性:数据转移应当采用安全可靠方式进行,并确保转移过程可追溯。 |
(五) 对外公开
就对外公开而言,《办法》第35条要求,银行保险机构应当建立对外公开披露数据的审批机制,研判可能产生的影响,数据公开应当在机构官方渠道进行发布,确保数据真实、准确、防篡改,记录审批和发布情况。敏感级及以上数据不得公开,法律、行政法规另有规定或者取得数据主体授权同意的除外。
(六) 数据销毁
就数据销毁而言,《办法》第38条要求,银行保险机构应当制定数据销毁管理制度,按照国家、行业有关规定及与数据主体的约定进行数据删除或者匿名化处理。银行保险机构委托数据处理终止时,应当要求服务提供商及时删除数据,并采取现场检查等有效监督措施,确保数据被销毁、不可恢复。
六、 数据安全评估
《办法》第22条要求银行保险机构在开展特定类型的数据处理活动前开展数据安全评估,并规定了安全评估的内容:
- 数据安全评估触发条件:(1)处理敏感数据、重要数据、核心数据的业务活动时,或者(2)开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动时。
- 安全评估内容:数据安全评估应当根据数据处理目的、性质和范围,按照法律法规和伦理道德规范要求,分析数据安全风险和对数据主体权益影响,评估数据处理的必要性、合规性,评估数据安全风险及防控措施的有效性。
数据安全归口管理部门负责组织开展数据安全评估和审查(《办法》第11条),并且银行保险机构每年1月15日前向监管机关报送的上一年度数据安全风险评估报告中应当包括数据安全评估和审查情况(《办法》第74条,)。
以上评估事项已基本涵盖《个人信息保护法》第55条规定的个人信息保护影响评估项,所涉及的数据类型更为宽泛、评估内容也更多。据我们观察,在个人信息保护领域,由于监管部门尚未出台个人信息保护影响评估报告模板(《个人信息出境标准合同》配套的出境版报告模板除外),企业对个人信息保护影响评估的颗粒度理解有所不同、实施情况差异较大。就银行保险机构的数据安全评估而言,可能也将存在类似情况。未来监管部门也有可能出台数据安全评估工作的具体指引和/或评估模板。
七、 技术保护措施
《办法》第39-53条提出了一系列具体的数据安全技术保护措施,要求建立数据安全保护基线。银行保险机构应将数据纳入网络安全等级保护,对存放或传输敏感级及以上数据的机房、网络实施重点防护,在数据全生命周期内采取有效访问控制管理措施,采用安全有效的传输方式保障数据完整性、保密性、可用性。
《办法》就敏感及以上级别的数据操作记录规定了留痕要求。敏感级及以上数据的操作应当进行日志记录,包括操作时间、用户标识、行为类型等,核心数据操作日志及其备份数据保存时间不低于三年,重要数据、敏感数据操作日志及其备份数据保存时间不低于一年,如涉及委托处理、共同处理的数据操作日志及其备份数据保存时间不低于三年。应当定期对数据操作行为进行审计,审计周期不超过六个月。
由于《办法》规定银行保险机构的信息科技部门为数据安全主责部门,《办法》所要求的数据安全保护基线值得信息科技部门重点关注。
八、 个人信息保护
《办法》第54-63条就银行保险机构的个人信息保护责任做出了具体规定,相关要求与《个人信息保护法》中的要求基本保持一致,并结合金融行业特点进行细化。在《个人信息保护法》的基础之上,《办法》中额外值得注意的要求包括:
- 隐私政策公开:《办法》第56条明确要求,银行保险机构应当制定个人信息处理规则,个人信息处理规则应当公开展示、易于访问、内容明确、清晰易懂。与《个人信息保护法》第17条规定相比,隐私政策对于银行保险机构而言为"必选项",且应当公开展示。
- 关联共享中的数据主体同意:《办法》第59条规定,银行保险机构与其母行、集团,或者其子行、子公司共享个人信息,及向外部提供个人信息,应当履行向个人告知及取得其同意等相关事项的义务。与《个人信息保护法》所描述的个人信息流动模式相比,《办法》特别强调了在银行保险机构母子公司共享敏感级及以上个人信息的情况下,也应当向个人告知并取得其同意。
- 安全事件报告接收部门:《办法》第63条明确发生个人信息安全事件时,接收安全事件报告的主管部门为金融监管总局或其派出机构。
九、 安全事件应对
《办法》第67条将数据安全事件定义为" 银行保险机构数据被篡改、泄露、破坏、非法获取、非法利用等,对个人或者组织合法权益、行业安全、国家安全造成负面影响的事件",并根据其影响范围和程度,分为特别重大、重大、较大和一般四个事件级别。《办法》附件中另附《数据安全事件分级》具体描述每一级别。
《办法》第64条要求银行保险机构将数据安全风险纳入其全面风险管理体系,明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程,有效防范和处置数据安全风险。
《办法》第66日条要求银行保险机构应当每年开展一次数据安全风险评估。审计部门应当每3年至少开展一次数据安全全面审计,发生重大数据安全事件后应当开展专项审计。银行保险机构委托专业机构进行数据安全审计时,不得使用该机构提供的产品和其他服务。
值得注意的是,《办法》第69条对数据安全事件响应时限做出了明确规定:
- 首次报告、书面报告:数据安全事件发生2小时内,银行保险机构应当向国家金融监督管理总局或者其派出机构报告,并在事件发生后24小时内提交正式书面报告。
- 特别重大数据安全事件的特殊报告要求:发生特别重大数据安全事件,银行保险机构应当立即采取处置措施,按照规定及时告知用户并向国家金融监督管理总局或者其派出机构、属地公安机关报告。银行保险机构应当每2小时将处置进展情况上报,直至处置结束。
- 总结报告:数据安全事件处置结束后,银行保险机构应当在5个工作日内将事件及其处置的评估、总结和改进报告报送国家金融监督管理总局或者其派出机构。
- 其他法律、行政法规对数据安全事件应急处置作出规定的,银行保险机构应当执行。
十、 监管报送要求
《办法》就以下场景要求银行保险机构主动向监管部门报告或请求监管部门同意:
- 数据安全事件报告:见本文"安全事件应对"章节。
- 敏感及以上数据流动:涉及批量敏感级及以上数据的数据共享、委托处理、转让交易、数据转移,银行保险机构应当在处理、合同签署前20个工作日向国家金融监督管理总局或者其派出机构报告,法律、行政法规另有规定的除外。(《办法》第73条)
- 重要数据及以上数据同业收集:银行保险机构在向其他银行保险机构收集行业重要数据、核心数据时,需经金融监管总局的同意。(《办法》第24条)
- 年度数据安全风险评估报告:银行保险机构应当于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告,报告内容包括数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境、数据安全评估与审查情况、数据安全相关的投诉及处理情况等。(《办法》第74条)
- 个人+机构"双罚制"
《办法》对于银行保险机构违反《办法》要求的情况实施个人+机构的"双罚制"。且对于银行业金融机构和保险业金融机构而言,处罚幅度有所不同:
|
机构 |
单位 |
个人 |
|
银行业金融机构 |
- 责令改正、罚款:银行业金融机构违反《办法》要求的,监管部门可以责令改正并处以 20万-50万元的罚款; - 停业整顿、吊销许可:情节特别严重或者逾期不改正的,可以责令停业整顿或者吊销其经营许可证。 |
- 行内纪律处分:根据违规情况,可以责令银行业金融机构对直接负责的董事、高级管理人员和其他直接责任人员给予纪律处分; - 警告、罚款:银行业金融机构的行为尚不构成犯罪的,对直接负责的董事、高级管理人员和其他直接责任人员给予警告,处 5万元-50万元罚款; - 取消任职资格、禁止从业(可终身):取消直接负责的董事、高级管理人员一定期限直至终身的任职资格,禁止直接负责的董事、高级管理人员和其他直接责任人员一定期限直至终身从事银行业工作。 - 刑事责任:构成犯罪的,依法追究刑事责任。 |
|
保险业金融机构 |
- 责令改正、罚款:保险业金融机构违反《办法》要求的,监管部门可以责令改正,处 5万-30万元的罚款; - 限制业务、吊销许可:情节严重的,限制其业务范围、责令停止接受新业务或者吊销业务许可证。 |
- 警告、罚款:根据违规情况,对其直接负责的主管人员和其他直接责任人员给予警告,并处 1万-10万元的罚款; - 撤销任职资格:情节严重的,撤销任职资格。 - 刑事责任:构成犯罪的,依法追究刑事责任。 |
需要注意的是,就银行保险机构而言,如违反《办法》的同时也违反了《网络安全法》、《数据安全法》或《个人信息保护法》,银行保险机构还有可能同时受到这几部法律下的处罚。
- 结语
《办法》的正式出台标志着金融行业数据安全规范化迈入了新的发展阶段。银行、保险机构等金融机构需要根据《办法》在数据治理、法律合规、技术应用、人员培训和流程优化等多个方面加大投入,以应对日渐成熟和体系化的监管环境。全面落实《办法》的要求不仅有助于实现合规目标,也有助于赢得客户的信赖、降低数据泄露带来的运营风险,并在竞争日益激烈的数据驱动型经济环境中,为相关金融机构赢得更为显著的竞争优势。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
